https://mainichi.jp/articles/20180528/ddm/005/070/167000c
http://archive.today/2018.05.28-001232/https://mainichi.jp/articles/20180528/ddm/005/070/167000c
遠い異国の新たな規制と片付けられない法改正だ。欧州連合(EU)で始まった、個人情報保護に関する歴史的な規制である。一般データ保護規則(GDPR)と呼ばれる。
ひとことで言えば、個人情報に関するさまざまな権利を、情報の本来の持ち主である個人に戻してあげるものだ。当然のことのように思えるが、これまでは企業が無料の検索サービスなどを通じて集めた個人情報を、あまりにも思うままに利用してきた。それに「待った」をかけた。
この春問題になったフェイスブックの情報流出では、利用者が選択した「いいね」が勝手に分析され、戦略的にターゲットをしぼった政治広告などに利用されていた。こうした行為は、明らかな違反となる。
GDPRが画期的なのは、欧州に拠点のない日本など外国の企業までもが、規模の大小にかかわらず規制の対象となり得る点だ。到底無関心ではいられない。
個人情報を得る企業は、何に利用するのか、わかりやすい言葉で説明し、同意を得ることが求められる。情報の漏えいや不正利用があれば、当局に72時間以内に通報することが義務づけられた。
また、過去に提供された情報の消去を求められた管理者は、バックアップ分も含め、短期間に完全な削除を完了させる必要がある。
最大の特徴は、違反した際の制裁金の大きさだろう。最大で2000万ユーロ(約26億円)か、その企業が世界で年間に売り上げる額の4%のいずれか高い方が課される。
欧州相手にビジネスをしている意識がなくとも要注意だ。例えば日本からインターネット配信する無料ゲームアプリの利用者が欧州にいれば、欧州企業と同様の情報管理が求められることになるという。
ところが、2年の周知期間があったにもかかわらず、日本企業の対応は遅れている。小さな企業や自治体であっても、個人情報に対する考え方が世界で大きく転換している現実を前に、対応を急がねばならない。
グローバル経済の中では、先に主要市場で導入された規制が、事実上、世界の標準となりかねない。国外の大きなうねりに、のみ込まれるだけでよいのかという問いも、今回の新規制は我々に突きつけている。
